Actualité
2 min de lecture
3 mai 2023
Dans ses lignes directrices du 28 mars 2023 sur l’identification de l’autorité chef de file d’un responsable du traitement ou d’un sous-traitant, le Comité européen de la protection des données (CEPD) répond au besoin de clarification exprimé en matière d’identification de l’établissement principal en présence notamment de responsables conjoints.

Les nouvelles lignes directrices du CEPD viennent en complément des lignes directrices du 7 juillet 2021 sur les notions de responsable du traitement et de sous-traitant (Lignes directrices CEPD n° 07/2020, 7 juill. 2021).

Dans l’absolu, le CEPD établit une liste de questions à poser pour identifier l’autorité chef de file, liste qu’il précise dans l’annexe des lignes directrices. Il en profite pour préciser le règlement général sur la protection des données (RGPD) sur certains points en présence de situations complexes (Règl. (UE) 2016/679 du Parlement européen et du Conseil, 27 avr. 2016 : JOUE n° L 119, 4 mai).

En vertu de ce texte, l’autorité chef de file est celle du lieu de l’établissement principal du responsable du traitement. Cet établissement est en principe celui dans lequel se situe l’administration centrale du responsable du traitement mais il peut aussi s’agir de l’établissement qui prend les décisions en ce qui concerne la finalité et les moyens du traitement en cause. La détermination de ce centre décisionnaire pose des difficultés dans certaines situations, notamment en présence de responsables conjoints du traitement ou d’un sous-traitant.

Dans le premier cas, le CEPD reconnaît que la notion d'établissement principal est liée à un unique responsable et ne peut être étendue à une situation de contrôle conjoint. Cela signifie que l'établissement principal d'un responsable ne peut pas être considéré comme l'établissement principal des responsables conjoints du traitement effectué sous leur contrôle conjoint. Il n’est donc pas possible de nommer un établissement commun. Chaque responsable doit identifier son établissement principal.

En présence d’un sous-traitant, l'établissement principal de ce dernier est le lieu de l'administration centrale dans l'Union ou, s'il n'y en a pas, l'établissement situé dans l’Union dans lequel les principales activités de traitement du sous-traitant ont lieu. Néanmoins, dans les cas impliquant à la fois un responsable du traitement et un sous-traitant, l'autorité de contrôle chef de file compétente est celle du lieu de l’établissement principal du responsable du traitement. L'autorité de contrôle du sous-traitant revêt alors la qualité d’autorité de contrôle concernée.

Le CEPD vise de façon générale la situation dans laquelle il peut être difficile d’identifier l’établissement principal du responsable en l’absence d’administration centrale ou d’établissement décisionnaire relativement au traitement dans l’Espace économique européen (EEE). Ici, le responsable doit désigner comme établissement principal celui qui a le pouvoir de mettre en œuvre les décisions relatives à l'activité de traitement et d'en assumer la responsabilité. Ainsi, le responsable n’est pas libre de choisir l’établissement qu’il souhaite (absence de forum shopping). Sa décision doit être justifiée. Les autorités de contrôle ne sont pas liées par l’appréciation faite et peuvent décider qu’une autre autorité de contrôle que celle de l’établissement désigné est compétente en qualité d’autorité chef de file. Pour cela, elles peuvent demander au responsable qu’il apporte des éléments de preuve et, sur cette base, décider laquelle des autorités concernées prendra la direction des enquêtes. En cas d’avis divergents, le CEPD pourra être saisi.

ChatGPT, révolution ou gadget technologique sans intérêt ?

Retrouvez dans cet article l'analyse de 2 spécialistes, Guillaume Jagerschmidt, avocat en droit des nouvelles technologies et Zacharie Laïk. avocat au barreau de New York, sur l’impact de l’utilisation de ChatGPT pour le métier des avocats en 2 points : pour une utilisation raisonnée de ChatGPT et faire monter les exigences et les compétences des juristes

Jessica EYNARD, Maître de conférences HDR en droit à l’Université de Toulouse-Capitole, co-directrice de la Mention Droit du numérique et chercheuse associée - Chaire Law, Accountability and Social Trust in AI, ANITI
Documents et liens associés
Lignes directrices n° 08/2022 du CEPD, 28 mars 2023
Document PDF
Aller plus loin
Dalloz IP/IT - Droit de la propriété intellectuelle et du numérique
Une approche pluridisciplinaire de l’actualité IP / IT : propriété littéraire et artistique, propriété industrielle et droit du numérique
697,34 € TTC
Dalloz IP/IT - Droit de la propriété intellectuelle et du numérique
Autres articles sur le même thème
« Pay or okay »  : le CEPD remet en cause les modèles des plateformes en ligne
Droit des affaires
Protection des données personnelles (RGPD)
« Pay or okay »  : le CEPD remet en cause les modèles des plateformes en ligne
19 avr. 2024
Traitement illicite de données personnelles : pouvoir de l’autorité de contrôle d’exiger leur effacement en l’absence de demande de la personne concernée
Droit des affaires
Protection des données personnelles (RGPD)
Traitement illicite de données personnelles : pouvoir de l’autorité de contrôle d’exiger leur effacement en l’absence de demande de la personne concernée
18 avr. 2024
20 % des violations de données sont causées par des erreurs humaines
Droit des affaires
Protection des données personnelles (RGPD)
20 % des violations de données sont causées par des erreurs humaines
29 mars 2024
  2. Droit des affaires
Trouvez rapidement et gratuitement une réponse fiable à votre question juridique
www.lefebvre-dalloz.fr
formation.lefebvre-dalloz.fr
Nous contacter
Nos sites édition
www.dalloz.fr
www.efl.fr
www.editions-legislatives.fr
Mentions légales
CGU
politique de confidentialité
Paramétrage des cookies
© Éditions Francis Lefebvre, 2024
© Éditions Législatives, 2024
© Éditions Dalloz, 2024